Question

Насколько я понимаю, мы используем SSL для шифрования конфиденциальных данных, таких как имя пользователя и пароль, для передачи на сервер без подслушивания людей в сети.Тогда сервер возвращает безопасный токен через HTTPS и хранится в cookie.Мы переключаемся на HTTP после того, как у нас есть безопасный токен, мы прикрепляем заголовок cookie / безопасный токен к каждому HTTP-запросу.

Теперь любой может увидеть мой безопасный токен, и он может подслушать его и выдать себя за меня.Правильно ли мое понимание?

Eugene Mayevski 'Allied Bits · Answer 1 · 08 февраля 2011

Файлы cookie могут быть установлены для каждого протокола, поэтому файлы cookie HTTPS не используются для HTTP и наоборот. Кроме того, правильно созданный безопасный токен должен включать в себя IP-адрес и иметь короткий срок действия.

Но, в общем, лучшая идея - это, конечно, держать аутентифицированный сеанс в безопасном канале - SSL не так уж тяжел в наши дни (поскольку компьютеры стали намного быстрее, чем когда впервые был введен SSL), а также самая тяжелая часть - рукопожатие, выполняется только один раз, если используется постоянное соединение HTTP (или когда используется возобновление сеанса SSL).

как работают SSL и куки?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

как работают SSL и куки?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы